由Meta案看數位資料商業化面臨之跨國問題
於2023年5月22日愛爾蘭資料保護委員會(Ireland's Data Protection Commission, DPC)對於Facebook的母公司Meta將歐盟境內資料傳輸到美國的行為做出開罰12億歐元的決定,並暫停資料跨境傳輸行為,再次引起了各界對於資料跨境傳輸的關注。
針對跨國提供網路服務的企業,如何確保企業處理資料的方式可以符合多國的法規要求,向來是一困難的問題。自從2015年「安全港隱私準則」(Safe Harbour Privacy Principles)被歐盟法院宣告失效後,美國與歐盟試圖就資料跨境傳輸重新達成一個可符合雙方要求的框架,包含2020年被歐盟法院宣告無效的「隱私盾框架」(EU-US Privacy Shield Framework),而2022年3月雙方達成原則性同意的歐盟美國資料隱私框架(EU-U.S. Data Privacy Framework, DPF),惟就美國於同年10月發布用以實施之行政命令(EO 14086),亦於2023年5月被歐洲議會認為對於歐盟境內資料的保護不足。
2023年6月8日英國跟美國共同發布建立英美資料橋(UK-US data bridge)的聯合聲明,以建立起英美之間的資料流動機制,但該英美資料橋是基於歐盟美國資料隱私框架做進一步的擴展,能否符合歐盟對於資料保護的要求,目前尚無法預期。
目前的商業模式中資料跨境傳輸是難以避免的現實困境,各國亦就資料跨境傳輸建立框架,企業需持續關注自身營業所在地之法規變化,以即時因應調整自身管理機制。
本文同步刊登於TIPS網站(https://www.tips.org.tw/)
- Shiona McCallum, Meta: Facebook owner fined €1.2bn for mishandling data, BBC NEWS, May 28, 2023
- Ana Hadnes Bruder, Oliver Yaros, David A. Simon & Salome Peter, European Parliament Adopts Resolution About the Draft US Adequacy Decision , MAYER BROWN, Jun. 6, 2023
- Jan-Luca Jorzyk* & Amancaya Schmitt, The “Trans-Atlantic Data Privacy Framework” – Finally a Legally Secure Data Transfer to the United States? , Littler, May 17, 2023
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
莊越程
高級法律研究員 編譯整理
Shiona McCallum, Meta: Facebook owner fined €1.2bn for mishandling data, BBC NEWS, May 28, 2023, https://www.bbc.com/news/technology-65669839 (last visited Jun. 19, 2023).
Ana Hadnes Bruder, Oliver Yaros, David A. Simon & Salome Peter, European Parliament Adopts Resolution About the Draft US Adequacy Decision , MAYER BROWN, Jun. 6, 2023, https://www.mayerbrown.com/en/perspectives-events/publications/2023/06/european-parliament-adopts-resolution-about-the-draft-us-adequacy-decision (last visited Jun. 19, 2023).
Jan-Luca Jorzyk* & Amancaya Schmitt, The “Trans-Atlantic Data Privacy Framework” – Finally a Legally Secure Data Transfer to the United States? , Littler, May 17, 2023, https://www.littler.com/publication-press/publication/trans-atlantic-data-privacy-framework-finally-legally-secure-data (last visited Jun. 19, 2023).
科法觀點
英國數位文化媒體暨體育部(Department for Digital, Culture, Media and Sport, DCMS)2020年9月1日發布「數位身分:政府諮詢回應」(Digital Identity: Call for Evidence Response)文件,以回應過去英國政府曾於2019年7月向各界蒐集如何為成長中的數位經濟社會建立數位身分系統之意見。依據諮詢意見之成果,英國政府計畫調修現行法規,使相關身分識別流程以最大化容許數位身分之使用,並發展有關數位身分之消費者保護立法;立法中將特別規範個人之權利、如何賠償可能產生的侵害,以及設定監督者等相關內容。數位身分策略委員會(Digital Identity Strategy Board)並提出六項原則,以加強英國之數位身分布建與政策: 隱私:當個人資料被使用時,應確保具備相關措施以保障其保密性與隱私; 透明性:當個人身分資訊於使用數位身分產品而被利用時,必須確保使用者可了解其個資被誰、因何原因,以及在何時被利用; 包容性:當人們希望或需要數位身分時即可取得。例如不備有護照或駕照等紙本文件時,對於其取得數位身分不應產生障礙; 互通性(interoperability):應設定英國之技術與運作標準,使國際與國內之使用上可互通; 比例性:使用者需求與其他因素(如隱私與安全)之考量應可平衡,使數位身分之使用可被信賴; 良好監理:數位身分標準將與政府政策與法令連結,未來之相關規範將更加明確、一致並可配合政府對於數位管制之整體策略。
地理空間資料(Geospatial Data)Google地圖、GPS導航、Facebook定位打卡、「台北等公車」、Uber叫車,「地理空間資料」(Geospatial Data)的運用已經滲透現代人的生活。然而,究竟什麼是「地理空間資料」?所謂「地理空間資料」,依美國的《2018年地理空間資料法》 (Geospatial Data Act of 2018)的定義:「與地球上緊扣相關的位置資訊,包含辨識地球上的地理位置和自然或結構特徵與疆界。在向量資料組(Vector Dataset)中,大致以點、線、多邊形或複雜的地理特徵或現象呈現。該資料可能透過遙測(Remote Sensing)、製圖(Mapping)和量測(Surveying)科技取得。」 地理空間資料涉及地理學、地圖學(Cartography)、地理資訊系統學(Geographical Information Science, GIScience)及許多相關的科學領域。互動式的時間與空間功能,成就了當今混和空間與時間的資訊爆炸,更是五花八門運用地理資訊的手機應用程式之基礎等。應用場景涉及政府、商業、社會各層面,順利達成多元且重要的任務,例如:疾病通報、環境監測和公共安全。2017年Google於委託AlphaBeta的分析報告指出:「全球地理空間資料相關服務每年有四千億美元的產值、節省消費者超過五千五百億美元的燃料和時間成本、直接創造四百萬份工作機會。透過電子地圖服務,如:提高顧客流量的免費行銷工具Google My Business,更促使小型商家產生1.2兆美金的營業額。」
日本發布創新治理報告書,主張強化企業等對法規範形成的實質參與日本經濟產業省於2020年7月13日發布「創新治理:實現Society5.0的法規與結構設計(GOVERNANCE INNOVATION: Society5.0の実現に向けた法とアーキテクチャのリ・デザイン)」報告書。其作成背景係依據日本在去(2019)年G20峰會時,基於大阪框架(大阪トラック、Osaka Track)下的「可資信任的資料自由流通機制(Data Free Flow with Trust(DFFT))願景,所提出的創新治理目標。該目標指出,過往的治理模式主要依靠法律規範,但明顯已追趕不及數位化與創新的快速步伐,致生新型態風險無法獲得有效控管、法律可能阻礙創新等問題,因而有必要革新治理模式,以掃除創新活動的障礙。基此,就上述創新治理模式的必要性與方式,日本召集國內外法律、經濟、科技、經濟等各界專家徵求意見進行討論,彙整後作成本報告書。 本報告書主張,應擺脫法規範的設計、法遵與執行,均由國家主導的傳統模式,建立提高企業參與規範擬定與實施程度的治理型態。具體主要包含以下作法: (1)法規範制定層面:規範之制定方向,改以作成價值決定的目的導向為主。至於細節性的行為義務,包含企業如何在數位化的虛擬場域內,透過程式語言等途徑落實上述法目的,則應由該些企業、以及在虛擬場域活動的社群或個人等利害關係人共同參與擬定相關的指引或標準。 (2)法遵層面:如上(1)所述,未來法規範制定將轉為形塑價值與目的為主,不會明確訂定企業的行為義務,而交由企業來擬訂。企業所制定之行為規範能否達成法規範目的,則須仰賴企業主動揭露其法遵方法,供外界檢視。因此,除企業應採用創新手法達成法目的、並對內落實法遵事項的說明外,應運用各種內外部查核機制來控管風險。同時,應著手研發相關技術或措施,讓利害關係人得取用企業之即時資料,以隨時確認企業所採取方法有無達成法遵,實現有效監督。 (3)執法層面:政府應以企業之行為對社會產生影響的程度,作為執法標準。若遭遇AI參與決策而衍生的事故,不應歸責於個人,而應建立獎勵機制,鼓勵企業積極協助究明事故原因。另一方面,亦應推動訴訟與訴訟外紛爭解決機制的線上化(Online Dispute Resolution, ODR),例如共享經濟平台服務的認證機制與標準、就電商平台上發生的小額消費糾紛由平台透過公告罰則等方式抑止與處理糾紛。
營業秘密之秘密保持命令所謂營業秘密相關的秘密保持命令(或稱保密令),指訴訟中當事人所提示的證據內含有營業秘密時,為防止該些證據所涵括的特定營業秘密在民事或刑事訴訟程序進行中,可能因他造請求閱覽或當事人之證據揭示義務等事由,造成該當營業秘密洩漏,得在當事人釋明後,由司法機關依當事人或第三人聲請而採取的制度性保密措施。營業秘密的核心價值與保護法益,在於其秘密性的維持,無論為技術性或業務經營上的秘密,若因相關訊息的揭露導致該資訊獨占性喪失,也將連帶使其市場價值大幅減損,基此,立法者將應實施防止秘密資訊外洩之相關措施的領域,自社會經濟活動場域擴張至訴訟場域,避免漏洞產生。 經司法機關發秘密保持命令所生之主要效果,包含限制該特定營業秘密僅得被使用於實施該當訴訟程序之目的,以及禁止揭露給未接受該秘密保持命令之人。此規範一方面係為確保該訴訟之當事人得有效行使防禦權,另一方面,則是考量到因訴訟程序進行中,關於營業秘密保護的規範相對完善,基於實施該當訴訟為目的之使用導致洩密的可能性較低而設。制度設計上,如我國智慧財產案件審理法第11條至15條中,針對涉及營業秘密的民事與刑事訴訟程序所制定的秘密保持命令相關規範,即為適例。